Ab dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DS-GVO) in allen Apotheken. In Deutschland löst sie das bisherige nationale Datenschutzrecht ab. Damit kommen erhebliche Veränderungen auf die Apotheker zu. Für so gut wie alle Kundenkontakte sind Einwilligungen erforderlich. Die Datennutzung muss exakt protokolliert werden. Ob Apotheken jeder Größe einen Datenschutzbeauftragten ernennen müssen, kommt auf das Bundesland an. Und Rezepte dürfen nicht mehr wie heute über WhatsApp vorbestellt werden.
Zur Umsetzung der DS-GVO hat die Bundesregierung ein neues Bundesdatenschutzgesetz (BDSG-neu) erlassen. Auch dieses tritt am 25. Mai 2018 in Kraft. Alle Apotheken müssen sich daher mit den neuen Regeln befassen. Der deutsche Föderalismus macht die Sache noch komplizierter. Die Auslegung und Umsetzung der Regeln obliegt den Datenschutzbeauftragten der Länder – und hier gibt es noch unterschiedliche Sichtweisen.
Probleme könnte es künftig mit WhatsApp geben: Fast 70 Prozent der Deutschen nutzten 2017 den Dienst und viele Apotheken bieten ihren Kunden die Vorbestellung nicht nur von Rx-Arzneimitteln via WhatsApp oder Messenger an. Dies ist voraussichtlich in Zukunft nicht mehr zulässig. Zwar hat WhatsApp bereits auf die neuen Regeln reagiert, aber noch sind nicht alle Fragen geklärt. Eigentlich ist WhatsApp nur für private Zwecke zugelassen. Geschäftliche Kommunikation wird allerdings nicht geblockt und verfolgt.
Mit Blick auf die ab 25. Mai geltende DS-GVO wurde die zum Facebook-Konzern gehörende Kommunikations-App schon angepasst. In einer aktuellen Betaversion ist es den Nutzern möglich, alle Daten abzufragen, die WhatsApp erhebt und verwendet. WhatsApp-Nutzer können in den Konto-Einstellungen ihre Daten anfordern. Das kann bis zu 20 Tagen dauern. Die neue Datenschutzverordnung verlangt jedoch, dass die Verwendung von personenbezogenen Daten dokumentiert werden und jederzeit abrufbar sein muss.
Dass diese Ergänzung ausreicht, WhatsApp datenschutzfähig zu machen, ist daher fraglich. Ein weiteres Problem der WhatsApp-Nutzung liegt vor allem in der Synchronisation der Kontaktdaten. Wer den Messenger-Dienst auf seinem Smartphone nutzt, gewährt WhatsApp Zugriff auf sein komplettes Adressbuch. Somit erhält WhatsApp auch Telefonnummern von Personen, die den Dienst überhaupt nicht nutzen. Wie die Facebook-Tochter diese Daten nutzt, ist nicht bekannt. Nach den neuen Regeln muss aber jede Datenverarbeitung ausdrücklich erlaubt werden. Dass ist bei der Nutzung von WhatsApp kaum möglich.
Das schwerwiegendste WhatsApp-Problem besteht aber im Datentransfer in die USA. Der neue europäische Datenschutz verlangt, personenbezogene Daten nicht in Drittländern zu speichern, in welchen ein zu niedriges Datenschutzniveau herrscht. Das ist derzeit mutmaßlich in Ländern außerhalb der EU der Fall. Also Vorsicht: Verstöße gegen die neuen Regeln werden mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes bestraft.
Unklar ist zudem, ob Apothekeninhaber mit ihren Mitarbeitern mit Hilfe von WhatsApp über private Smartphones dienstlich kommunizieren dürfen oder ab dazu ein Diensthandy erforderlich ist. Ebenso unsicher ist, ob WhatsApp als Marketinginstrument und für Werbung eingesetzt werden darf. In Ordnung dürfte das nur dann sein, wenn der Erstkontakt vom Kunden ausgeht, weil dann von dessen Einwilligung ausgegangen werden kann. Für von der Apotheke ausgehende Werbung muss zuvor die Einwilligung des Empfängers vorliegen.
§ 38 BDSG-neu schreibt außerdem vor, dass ein Datenschutzbeauftragter benannt werden muss, soweit mindestens zehn Mitarbeiter ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Laut Bayerischer Apothekerkammer (BLAK) ist ein Datenschutzbeauftragter dann zu bestellen, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt wie beim Medikationsplan, bei der Kundenkarte oder der Rezeptabrechnung. Dies gilt laut BAV unabhängig von der Anzahl der Beschäftigten der Apotheke. Daher sei nach derzeitiger Erkenntnis in Zukunft jede Apotheke, unabhängig von der Beschäftigtenzahl, zur Bestellung eines Datenschutzbeauftragten verpflichtet, so der BLAK.
Während der Datenschutz in Bayern schon angekündigt hat, kleinere Apotheken in dieser Hinsicht nicht in die Pflicht zu nehmen, wird die Regelung offenbar in anderen Bundesländern strenger ausgelegt. Für Apotheken unbefriedigend: Die Juristen sprechen an verschiedenen Stellen zur DS-GVO von „ungeklärten Rechtsfragen“.
Zu den automatisierten Verarbeitungen in der Apotheke zählen zum Beispiel Rezeptabrechnungen oder die Zahlungen mit EC- und Kreditkarte. Damit sind in der Regel alle Offizin-Mitarbeiter gemeint. Teilzeitkräfte, Auszubildende, Praktikanten und freie Mitarbeiter zählen ebenfalls dazu, Reinigungskräfte dagegen eher nicht, da sie nicht mit datenverarbeitenden Prozessen zu tun haben, Botenfahrer dagegen schon.
Die Benennung oder Abberufung des Datenschutzbeauftragten ist so oder so der zuständigen Aufsichtsbehörde zu melden. Der Inhaber darf sich selbst nicht als Datenschutzbeauftragter einsetzen. Es kann aber ein Mitarbeiter benannt werden oder auch ein externer Datenschutzbeauftragter. Das ist am Ende auch eine Kostenfrage.
Nach der DS-GVO treffen den Apothekenleiter bei der Verarbeitung personenbezogener Daten umfangreiche Informationspflichten gegenüber den Apothekenkunden. Die Apotheke muss Verfahren zur Sicherstellung der Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung und Datenportabilität erarbeiten und umsetzen.
Jede Apotheke muss künftig ihren Kunden in einer Datenschutzerklärung Auskunft über die Verarbeitung seiner personenbezogenen Daten geben: Welche Daten werden verarbeitet, Zweck der Verarbeitung, die Rechtsgrundlage für die Verarbeitung und die Empfänger der personenbezogenen Daten. Die Datenschutzerklärung muss den Apothekenkunden zudem mit einfachen technischen Mitteln zugänglich sein. Dies kann über eine Kundenkarte geschehen oder auch über einen Aushang der Datenschutzerklärung in der Offizin.
Vor jeder Verarbeitung personenbezogener Daten muss die ausdrückliche Einwilligung des Betroffenen vorliegen. Wegen der Nachweispflicht empfiehlt sich daher immer eine Einwilligung in Schriftform. Diese muss den Namen enthalten und den Zeitpunkt, auch der Zweck der Datenerhebung muss eindeutig genannt werden. Verschiedene Sachverhalte dürfen in einer Einwilligung nicht kombiniert werden. Nicht zulässig ist beispielsweise die Einwilligung in ein Medikationsmanagement gekoppelt mit der Einwilligung zur Erhalt von Werbung. Es gilt der Grundsatz pro Zweck eine extra Einwilligung.
Hingewiesen werden muss stets auf das Widerrufsrecht des Betroffenen zur Datennutzung. Die Apothekenkunden können jederzeit die Löschung ihrer Daten verlangen. Dies gilt aber nicht für Rezeptdaten zur Abrechnung mit den Kassen. Diese Daten dürfen allerdings nicht anderweitig genutzt werden, sondern ausschließlich für diesen Zweck.
Wie schon bisher müssen Apotheken die Sicherheit der Daten gewährleisten. Dazu sollten Firewall und Virenscanner immer auf dem neusten Stand sein und alle Datenspeicher mit einem Passwort geschützt werden. Ein Datenleck oder einen Hackerangriff muss die Apotheke innerhalb von drei Tagen dem Bundesbeauftragten für Datenschutz melden.
APOTHEKE ADHOC Debatte